0ktapus Phishing Kit

Cyberkriminella har lyckats kränka över 130 organisationer som en del av en rad cyberattacker. De kriminella operationerna börjar med en utbredd och välarbetad nätfiskekampanj som använder ett nätfiskepaket med namnet '0ktapus'. Enligt en rapport från säkerhetsforskare kunde hotaktörerna samla in nästan 10 000 inloggningsuppgifter på bara ett par månader. Verksamheten tros ha varit aktiv sedan åtminstone mars 2022. Målet med 0ktapus-kampanjen verkar ha varit stöld av Okta-identitetsuppgifter och 2FA-koder (tvåfaktorsauktorisering). Med de erhållna konfidentiella uppgifterna siktade cyberbrottslingarna på att utföra efterföljande operationer, såsom attacker i leveranskedjan.

Enligt rapporten utnyttjades 0ktapus phishing-kit mot företag från flera industrisektorer, inklusive finans, krypto, teknik, rekrytering, telekommunikation och många fler. Några av de riktade företagen är AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy och andra.

Attackerna börjar med lockande SMS-meddelanden som innehåller en länk till en nätfiskesida. Webbplatsen påminner mycket om den legitima Okta-inloggningssidan och uppmanar användare att ange sina kontouppgifter och 2FA-koder. Okta är en IDaaS-plattform (Identity-as-a-Service), vilket i huvudsak innebär att anställda kan använda ett enda inloggningskonto och autentiseringsuppgifter för att komma åt alla mjukvarutillgångar de behöver inom sitt företag. De angivna referenserna och 2FA-koderna skrapades av den falska sajten och överfördes till ett Telegram-konto som kontrollerades av hackarna.

Naturligtvis skulle äventyra Okta-uppgifterna för de riktade anställda göra det möjligt för angriparna att utföra ett stort antal skändliga handlingar inom de överträdda organisationerna. Och det gjorde de, med hotaktörerna som fick tillgång till företags VPN, nätverk, interna kundsupportsystem, etc. Den insamlade kunddatan utnyttjades av cyberbrottslingar för att utföra supply-chain-attacker riktade mot kunderna till Signal och DigitalOcean.

0ktapus-nätfiskekampanjen har också lett till dataintrång hos stora organisationer, som Twilio, Klaviyo, MailChimp och ett försök till attack mot Cloudflare. Hittills har forskare identifierat 169 unika nätfiskedomäner som hotaktörerna skapade som en del av 0ktapus-operationen. De tillverkade sidorna var designade för att likna det lämpliga temat för varje riktat företag och vid en första anblick verkar det vara de legitima portalerna som offren använder dagligen. Som en del av attacken har hotaktörerna lyckats samla in 9 931 referenser från anställda på 136 företag, 3 129 poster med e-post och totalt 5 441 poster som innehåller MFA-koder.